أعلنت Google Threat Intelligence Group (GTIG) عن رصد جهة تهديد جديدة غير موثقة سابقاً، يُعتقد أنها مرتبطة بالاستخبارات الروسية، قامت بشن هجمات ضد منظمات أوكرانية باستخدام برمجية خبيثة تحمل اسم CANFAIL. هذه الهجمات استهدفت قطاعات الدفاع والجيش والحكومة والطاقة، مع توسع الاهتمام مؤخراً ليشمل شركات الطيران، التصنيع المرتبط بالطائرات المسيّرة، ومؤسسات البحث النووي والكيميائي، إضافة إلى منظمات دولية معنية بمراقبة النزاعات والمساعدات الإنسانية.
أساليب الهجوم
رغم أن هذه المجموعة أقل تطوراً من غيرها من الجهات الروسية، إلا أنها بدأت في تجاوز بعض القيود التقنية عبر الاستعانة بنماذج لغوية كبيرة (LLMs). يتم استخدام هذه النماذج في الاستطلاع، إعداد محتوى خداعي للهندسة الاجتماعية، والإجابة عن أسئلة تقنية أساسية تتعلق بمرحلة ما بعد الاختراق وبناء بنية التحكم والسيطرة (C2).
من أبرز أساليبها:
- حملات تصيّد تنتحل هوية مؤسسات طاقة أوكرانية للحصول على وصول غير مصرح به إلى حسابات البريد الإلكتروني.
- انتحال هوية شركة طاقة رومانية تعمل مع عملاء في أوكرانيا، واستهداف شركات رومانية أخرى، إضافة إلى إجراء استطلاع على منظمات في مولدوفا.
- إنشاء قوائم بريدية مخصصة حسب المناطق والصناعات، تتضمن روابط Google Drive تؤدي إلى أرشيفات RAR تحتوي على برمجية CANFAIL.
خصائص برمجية CANFAIL
تُخفي CANFAIL نفسها عبر امتداد مزدوج يظهر كملف PDF (.pdf.js) لتضليل الضحايا. وهي عبارة عن برمجية JavaScript مشفرة، تنفذ سكربت PowerShell يقوم بدوره بتحميل وتنفيذ أداة إسقاط تعمل في الذاكرة فقط، بينما يُعرض على الضحية رسالة خطأ مزيفة لإخفاء النشاط الحقيقي.
هذا الأسلوب يعزز قدرة المهاجمين على تجاوز أنظمة الكشف، ويزيد من صعوبة تتبع مصدر الهجوم أو إيقافه.
ارتباط بحملات سابقة
ترتبط هذه المجموعة أيضاً بحملة PhantomCaptcha التي كشفت عنها SentinelOne SentinelLABS في أكتوبر 2025، والتي استهدفت منظمات مرتبطة بجهود الإغاثة في أوكرانيا. تضمنت الحملة رسائل تصيّد توجه الضحايا إلى صفحات مزيفة تحتوي على تعليمات بأسلوب ClickFix لتفعيل تسلسل العدوى، وتنتهي بزرع حصان طروادة يعتمد على بروتوكول WebSocket.
